CrowdStrike: Conoscere le tecniche del nemico rende la caccia più proattiva

È una corsa senza fine quella verso la cybersecurity: non si ha mai in tasca la soluzione definitiva, e non si può mai smettere d’innovare, altrimenti a vincere saranno gli avversari. Così Shawn Henry, presidente e chief security officer di CrowdStrike Services – che abbiamo di recente incontrato a Milano, in occasione di un programma di visite in Italia per incontrare vari utenti e CSO – risponde quando gli si domanda cosa possa significare per i criminali informatici disporre delle ultime tecnologie di intelligenza artificiale (AI). «Come hanno cominciato a usare la potenza del cloud, gli hacker useranno sempre più anche AI e machine learning». Ma, ricorda Henry, una carriera alle spalle come vicedirettore esecutivo all’FBI degli Stati Uniti, adottare la giusta tecnologia per reagire ai cyber-attacchi globali è solo una parte della soluzione, a cui è necessario affiancare corrette policy e processi che aiutino le aziende a diventare più proattive.

Difesa non solida senza proteggere tutti gli endpoint

Non c’è solo la continua crescita di ransomware come WannaCry, in grado di bloccare l’accesso alle informazioni aziendali, o distruggerle: oggi esiste Shodan, il motore di scanning di indirizzi IP che, sfruttando webcam e dispositivi IoT (Internet of Things) privi di adeguate protezioni, permette agli hacker di penetrare con voyeurismo in camere da letto, cucine, garage casalinghi; ma anche in server aziendali, impianti industriali, utility di gestione dell’energia. «Questo tipo di capacità dovrebbe rendere le imprese consapevoli del perché è importante fare il patching del proprio ambiente IT. Ma la realtà è che, ovunque nel mondo, pur adottando tecnologia di ‘defense in depth’ a livello di rete e applicativo, le imprese non si focalizzano a sufficienza sulla protezione degli endpoint».

Questi sono i veri baluardi da presidiare per ottenere più visibilità e consapevolezza di ciò che sta accadendo nel proprio ambiente informatico, dove vanno sì monitorati gli attacchi esterni, ma senza dimenticare di considerare le possibili compromissioni perpetrabili da parte di chi può avere accesso fisico a server e macchine all’interno dell’organizzazione. «Una volta superati i diversi livelli di difesa, attraverso gli endpoint gli avversari si introducono nella rete, che a tal punto possono controllare, assieme ai dati, rimanendo inosservati anche per molto tempo. Il fatto è che oggi, a livello architetturale, le reti non sono abbastanza segmentate: se poi si aggiunge che un altro problema è sviluppare un controllo più raffinato degli accessi e degli account di amministratore, quando gli attaccanti guadagnano queste credenziali, possono ottenere un ingresso completo nell’intera rete. Un altro problema, forse ancora il più comune, è che non si eseguono sufficienti interventi di patching e aggiornamento dell’ambiente IT».

Attenzione puntata sugli indicatori di attacco

Con l’attuale complessità, volume e ritmo di evoluzione delle minacce informatiche, gestire la sicurezza IT sfruttando la potenza del cloud, spiega Shawn, dà il vantaggio di muoversi alla velocità della rete, di eseguire in automatico gli aggiornamenti, monitorare e amministrare gli endpoint, disconnettendo immediatamente quelli compromessi per impedire lo sfruttamento delle informazioni. Ma occorre anche essere realisti: «Ho parlato con persone nel business della security a cui non importa chi sono gli attaccanti, perché puntano a bloccare qualsiasi possibile minaccia: questa, a mio parere, non è una strategia valida. Occorre invece focalizzarsi e cercare di capire chi sta minacciando la rete, attraverso l’analisi degli indicatori di attacco. Con la nostra tecnologia monitoriamo gli indirizzi IP malevoli, le attività, gli eventi in corso, sulla base di ciò che sappiamo gli avversari devono fare per guadagnare l’accesso alla rete. E nel far questo utilizziamo l’intelligence: non la AI, ma una collezione di informazioni, per identificare chi sono gli attori in gioco. Noi conosciamo diversi gruppi di avversari; conosciamo le tattiche, gli strumenti che usano, e questo ci aiuta a proteggere la rete in modo proattivo, andando a scoprire gli indicatori che gli attaccanti sono in quel momento attivi in un dato punto dell’infrastruttura». La caccia ai pirati del cyberspazio è più che mai aperta.